Microsoft Azure by Ingram Micro (Thailand)

สรุปงานสัมมนา Baycoms Cybersecurity Day 2021: Evaluate Your Cybersecurity Resiliency Strategy

Bay Computing ผู้ให้บริการและที่ปรึกษาด้านความมั่นคงปลอดภัยไซเบอร์ชื่อดัง จัดงานสัมมนา Baycoms Cybersecurity Day 2021 ภายใต้ธีม Evaluate Your Cybersecurity Resiliency Strategy เพื่ออัปเดตแนวโน้มภัยคุกคามล่าสุด รวมไปถึงแนวทางปฏิบัติ มาตรการควบคุม และกรอบการทำงานที่จะช่วยให้องค์กรสร้าง Cybersecurity Resiliency ได้อย่างมีประสิทธิภาพ พร้อมแนะนำโซลูชันจากบริษัทด้านความมั่นคงปลอดภัยชั้นนำ ซึ่งสามารถสรุปประเด็นสำคัญได้ดังนี้

ประเมินความพร้อมด้าน Cyber Resilience เพื่อรับมือภัยคุกคามยุคใหม่

คุณอวิรุทธ์ เลี้ยงศิริ Chief Technology Officer จาก Bay Computing ได้ออกมาอัปเดตแนวโน้มภัยคุกคามล่าสุดของปี 2021 ระบุว่า แม้การโจมตีด้วยมัลแวร์จะลดลง แต่การโจมตีรูปแบบอื่นๆ กลับเพิ่มขึ้นและมีความซับซ้อนมากยิ่งขึ้น ไม่ว่าจะเป็น Cryptojacking, Encrypted Threats, IoT Attacks และที่เพิ่มมากที่สุด คือ Ransomware ซึ่งมีเป้าหมายหลักเป็นอุตสาหกรรมการผลิต สถาบันการเงิน และการขนส่ง ที่น่าเป็นห่วงคือ Ransomware สมัยใหม่ไม่ได้เข้ารหัสข้อมูลเพียงอย่างเดียว แต่มีการขโมยข้อมูลเพื่อเพิ่มความสำเร็จในการเรียกค่าไถ่ด้วย นอกจากนี้ยังพบว่า ในปัจจุบันอาชญากรรมไซเบอร์กลายเป็นธุรกิจมากขึ้น แฮ็กเกอร์มือใหม่หรือบุคคลทั่วไปสามารถหาซื้อ/เช่าเครื่องมือของแฮ็กเกอร์มือฉมังมาใช้โจมตีได้ทันที ซึ่งที่พบเห็นได้บ่อยยังเป็น Ransomware as a Service เช่นกัน

Source: https://www.sonicwall.com/medialibrary/en/white-paper/mid-year-2021-cyber-threat-report.pdf

การพัฒนาเทคโนโลยีในยุคดิจิทัล การบังคับใช้กฎหมายและข้อบังคับด้านไซเบอร์ที่เพิ่มมากขึ้น รวมไปถึงปัญหาเรื่องงบประมาณและการขาดแคลนบุคลากรที่มีทักษะ สร้างความท้าทายในการรักษาความมั่นคงปลอดภัยไซเบอร์ให้แก่ธุรกิจ เพื่อให้องค์กรอยู่รอดภายใต้สถานการณ์ภัยคุกคามที่ทวีความซับซ้อนและรุนแรงในปัจจุบัน องค์กรควรก้าวไปสู่การทำ Cyber Resilience หรือก็คือการสร้างความยืดหยุ่น ความต้านทานต่อภัยคุกคาม ต่อให้องค์กรถูกโจมตี ระบบ IT และธุรกิจก็ยังคงดำเนินต่อไปได้ พร้อมๆ กับการรับมือและฟื้นฟูความเสียหายให้กลับสู่สภาวะปกติ โดยรากฐานของการทำ Cyber Resilience ประกอบด้วย การดำเนินงาน (Operations) ที่สามารถทำได้อย่างต่อเนื่อง, การรักษาความมั่นคงปลอดภัยไซเบอร์ที่ทันสมัย พร้อมรับมือภัยคุกคามในปัจจุบัน และการบรรลุความเสี่ยงที่ยอมรับได้สำหรับ CIA (Confidentiality, Integrity และ Availability)

ก้าวแรกของการเริ่มทำ Cyber Resilience คือ การประเมินความพร้อม ซึ่งจะทำให้องค์กรรู้ระดับ Maturity Level ของตนเอง รู้ว่ามีกลไกการรักษาความมั่นคงปลอดภัยอย่างไรและมีสินทรัพย์ที่มีค่าอะไรอยู่บ้าง รวมไปถึงทำให้ทราบภัยคุกคามที่องค์กรต้องเตรียมพร้อมรับมือ ความเสียหายและผลกระทบที่อาจเกิดขึ้น ไปจนถึงความเสี่ยงทั้งด้านธุรกิจและระบบ IT และความสอดคล้องกับกฎหมายและข้อบังคับต่างๆ

สำหรับวิธีที่จะใช้ประเมิน คุณอวิรุทธ์ แนะนำ 4 วิธี ดังนี้

  • ประเมินตามแนวทางปฏิบัติที่ดีที่สุด เช่น ISO/IEC 27002, COBIT 5, CIS Benchmark หรือจาก Vendors ต่างๆ เอามาเปรียบเทียบกับสิ่งที่องค์กรมี เพื่อให้ทราบช่องโหว่และจุดที่ต้องทำการปรับปรุง
  • ใช้เครื่องมือประเมินด้วยตนเอง เช่น Cyber Security Evaluation Tool (CSET), Cyber Resilience Assessment Framework (CRAF) สำหรับบริษัทในตลาดหลักทรัพย์, OIC สำหรับธุรกิจประกัน, กรอบการประเมินความพร้อมด้าน Cyber Resilience จากธนาคารแห่งประเทศไทย เป็นต้น
  • ประเมินตามกรอบการทำงานที่ได้รับการยอมรับ เช่น COBIT 5, ISO 27000, NIST SP 800-53, HITRUST CSF, CIS Top 18 และ NIST Cybersecurity Framework
  • ว่าจ้างบริษัทภายนอกให้มาประเมินตามมาตรฐานหรือข้อบังคับต่างๆ เช่น ISO/IEC 27001, PCI DSS, SABSA, HIPAA, GDPR เป็นต้น

“Cyber Resilience เป็นขั้นกว่าของ Cybersecurity ซึ่งเป็นสิ่งจำเป็นสำหรับการรับมือกับภัยคุกคามในปัจจุบัน เราต้องมีการรักษาความมั่นคงปลอดภัยที่สามารถปรับตัว เปลี่ยนแปลง และพร้อมรับมือกับภัยคุกคามยุคใหม่ที่ Advanced กว่าในอดีต การป้องกัน (Protect) ไม่เพียงพออีกต่อไป การทำ Self Assessment เป็นประจำด้วยเครื่องมือที่เหมาะสมจะช่วยให้เราก้าวไปสุ่การทำ Cyber Resilience ที่แข็งแกร่งยิ่งขึ้นได้” — คุณอวิรุทธ์สรุป

สรุปแนวโน้มและเทคโนโลยีใหม่ล่าสุดจากเจ้าของผลิตภัณฑ์ชั้นนำระดับโลก

นอกจากการอัปเดตแนวโน้มภัยคุกคามและแนะนำการประเมินความพร้อมด้าน Cyber Resilience จากทาง Bay Computing แล้ว ภายในงาน Baycoms Cybersecurity Day 2021 ยังมีการนำเสนอโซลูชันและแนวทางปฏิบัติที่น่าสนใจโดยเหล่า Vendors ชั้นนำระดับโลกอีกด้วย ได้แก่

FireEye | Mandiant – Cyber Resilience และ NIST Cybersecurity Framework

แนวคิดการรักษาความมั่นคงปลอดภัยพื้นฐานที่นิยมใช้กันคือ Defense-in-depth หรือเปรียบเทียบได้กับ “ปราสาท” ซึ่งมีกลไกการป้องกันหลายชั้นเพื่อปกป้องสมบัติที่อยู่ในส่วนลึกที่สุด ซึ่งก็คือสินทรัพย์ดิจิทัลขององค์กรนั่นเอง อย่างไรก็ตาม เป็นไปไม่ได้เลยที่จะป้องกันได้สมบูรณ์ 100% สุดท้ายแฮ็กเกอร์ก็จะสามารถค้นหาช่องโหว่แม้เพียงน้อยนิด เจาะทะลุเข้ามาโจมตีองค์กรได้ ถึงเวลาแล้วที่ต้องเปลี่ยนแนวคิดจาก “ปราสาท” ไปสู่ “พิพิธภัณฑ์” ซึ่งถึงแม้จะเปิดให้โลกภายนอกเข้ามาเยี่ยมชมสินทรัพย์ได้ แต่ก็ยังมีการเฝ้าระวัง จำกัดการเข้าถึง และคุ้มครองสินทรัพย์ตลอดเวลาแทน เรียกว่าเปลี่ยนจากป้องกันแฮ็กเกอร์ไม่ให้เข้าถึง (ปราสาท) ไปสู่ป้องกันแฮ็กเกอร์ไม่ให้เข้าถึงโดยมิชอบ (พิพิธภัณฑ์) แนวคิดแบบ “พิพิธภัณฑ์” นี้เองสามารถนำไปประยุกต์ใช้กับการทำ Cyber Resilience ได้

ในมุมของ FireEye องค์ประกอบของ Cyber Resilience ประกอบด้วย การระบุภัยคุกคามล่วงหน้าเพื่อป้องกันไม่ให้เกิดเหตุโจมตี, การยับยั้งสายทางการโจมตีเพื่อรับมือกับความเสียหายที่เกิดขึ้น และการพัฒนาศักยภาพของทรัพยากรที่มีอยู่เพื่อเพิ่มประสิทธิภาพในการตรวจจับและป้องกัน พร้อมลดความเสี่ยงให้เหลือน้อยที่สุด หนึ่งในกรอบการทำงานที่แนะนำเพื่อวางกลยุทธ์ Cyber Resilience คือ NIST Cybersecurity Framework

สำหรับ FireEye เองก็มีหลากหลายบริการที่ตอบโจทย์แต่ละขั้นของ NIST Cybersecurity Framework ได้แก่

  • คอร์สอบรมสำหรับพัฒนาความรู้และทักษะ
  • โซลูชันด้านความมั่นคงปลอดภัยสำหรับเฝ้าระวังและป้องกัน Network, Email, Endpoint และ Cloud
  • FireEye Helix สำหรับรวบรวมและวิเคราะห์ข้อมูล Log
  • Cloudvisory ซึ่งให้บริการ Visibility และ Compliance Enforcement สำหรับ Cloud Platforms
  • ทีม Mandiant สำหรับช่วยวางแผนและซักซ้อมการรับมือภัยคุกคามไซเบอร์ ทดสอบเจาะระบบ วิเคราะห์หลักฐานและรับมือกับเหตุ Security Breach ที่เกิดขึ้น รวมไปถึงประเมินประสิทธิภาพของมาตรการควบคุมที่มีอยู่

Splunk – Security Automation ด้วย SOAR

Alert Fatigue หรือการจมไปกับ Alert ปริมาณมหาศาลในแต่ละวันโดยที่ไม่สามารถจัดการได้หมดกลายเป็นความท้าทายสำคัญด้าน Security Operations ที่หลายๆ องค์กรต่างประสบในปัจจุบัน จากการศึกษาล่าสุดของ Enterprise Management Associates พบว่า 64% ของ Security Tickets ในแต่ละวันไม่ได้รับการจัดการ เนื่องด้วยข้อจำกัดด้านบุคลากรและเวลา ในขณะที่ 46% ของ Incidents ที่ถูกจำแนกว่าเป็น Critical Alerts อย่างอัตโนมัติ หลังจากตรวจสอบแล้ว กลับมีเพียง 1 – 5% เท่านั้นที่ควรเป็น Critical Alerts อย่างแท้จริง

นอกจาก Alert Fatigue แล้ว การขาดแคลนทรัพยากร การบริหารจัดการที่ไม่รวมศูนย์ กระบวนการที่ไม่เป็นขั้นเป็นตอน ความล่าช้าในการแก้ไขปัญหา และการทำแต่งานเดิมๆ ซ้ำๆ ทุกวัน ต่างก็สร้างปัญหาให้ Security Opertions ทั้งสิ้น ทำให้องค์กรไม่สามารถรับมือกับเหตุผิดปกติและภัยคุกคามได้อย่างมีประสิทธิภาพ

Splunk จึงได้นำเสนอโซลูชัน SOAR (Security, Orchestration, Automation and Response) โดยมีเป้าหมายเพื่อช่วยให้ทีมรักษาความมั่นคงปลอดภัยสามารถทำงานได้รวดเร็วยิ่งขึ้น และเพิ่มความแข็งแกร่งให้กับกลไกด้านความมั่นคงปลอดภัยขององค์กร ผ่านการเชื่อมโยงกระบวนการด้านความมั่นคงปลอดภัยเข้าด้วยกันกับโซลูชันต่างๆ ที่ใช้งานอยู่ โดยนำระบบ Orchestration เข้ามาใช้เพื่อรวมศูนย์การบริหารจัดการ, ระบบ Automation สำหรับการทำงานอย่างอัตโนมัติ ลดการทำงานซ้ำๆ ซึ่งช่วยให้ทีมรักษาความมั่นคงปลอดภัยสามารถใช้เวลากับงานที่มีประโยชน์หรือมีคุณค่ามากกว่าได้ รวมไปถึงนำเทคโนโลยี Machine Learning เข้ามาใช้เพื่อลดเวลาในการวิเคราะห์และแก้ไขปัญหา เพิ่มความเร็วในการตอบสนองต่อเหตุผิดปกติ

Attivo Networks – แนะนำเทคโนโลยี Deception

Attivo Networks เป็นบริษัทน้องใหม่ด้าน Cybersecurity ที่เติบโตมาจากเทคโนโลยี Deception ปัจจุบันเป็นผู้เชี่ยวชาญด้านการตรวจจับและป้องกัน Lateral Movement และ Privilege Escalation โดยเฉพาะการปกป้อง Identity, Credential, High-value Asset บนอุปกรณ์​ Endpoint, Active Directory และ Cloud Infrastructure

แนวคิดพื้นฐานของบริการจาก Attivo Networks คือ การทำ Deception ซึ่งเป็นการวางกับดักเพื่อหลอกล่อแฮ็กเกอร์ ทำให้แฮ็กเกอร์เสียเวลามากขึ้น และระหว่างนั้น องค์กรสามารถตรวจจับและหาวิธีจัดการกับแฮ็กเกอร์ได้อย่างทันท่วงที ในขณะที่สินทรัพย์ที่เป็นเป้าหมายของแฮ็กเกอร์ก็ถูกซ่อนพรางไว้ เป็นอีกหนึ่งวิธีที่ใช้ตรวจจับภัยคุกคามและแฮ็กเกอร์ที่หลบซ่อนอยู่ในองค์กร

แนวคิด Deception เป็นการป้องกันเชิงรุกซึ่งสามารถประยุกต์ใช้กับการปกป้องสินทรัพย์ได้หลากหลาย หนึ่งในนั้นคือ Active Directory (AD) ด้วยการล่อลวงแฮ็กเกอร์ด้วยข้อมูลล็อกอินจาก AD กับดับ แต่องค์กรก็จะทราบทันทีว่ามีแฮ็กเกอร์ติดกับดักและกำลังบุกรุกเข้ามาในองค์กรโดยที่ AD จริงและระบบอื่นๆ ยังไม่ถูกโจมตี นอกจากนี้ยังสามารถใช้แนวคิด Deception กับ Web Server, Database Server หรือระบบงานอื่นๆ ได้อีกด้วย

E-Cop – Proactive Incident Response

การทำ Incident Response (IR) ในปัจจุบันเป็นการทำในรูปแบบ Reactive กล่าวคือ ต้องรอจนกว่าจะมีเหตุผิดปกติ (Incident) เกิดขึ้น จึงจะเริ่มตอบสนอง Incident Response รูปแบบนี้ เมื่อเจอกับภัยคุกคามสมัยใหม่อย่าง Ransomware มักไม่สามารถช่วยอะไรได้มากนัก ถ้าไม่มีการสำรองข้อมูลหรือเตรียมพร้อมแต่แรก ทุกอย่างเป็นอันจบ จึงถึงเวลาแล้วที่องค์กรธุรกิจต้องหันไปสู่การทำ Proactive Incident Response ซึ่งสามารถตอบสนองต่อเหตุผิดปกติได้ก่อนที่เหตุเหล่านั้นจะเกิดขึ้น

ยกตัวอย่างการทำ Proactive Incident Response สำหรับ Ransomware มีขั้นตอนดังนี้

  • ตั้งสมมติฐานว่า Ransomware จะโจมตีองค์กรของเราแน่นอน
  • กำหนด Use Cases สำหรับเฝ้าระวังและตรวจจับการโจมตี
  • ตรวจสอบว่า People, Process และ Technology ที่มีอยู่เพียงพอต่อการรับมือกับ Ransomware หรือไม่
  • จำลองสถานการณ์ว่ามี Ransomware เข้ามาโจมตีองค์กรจริงๆ
  • วิเคราะห์ผล People, Process และ Technology  แล้วทำการอุดช่องโหว่ที่ยังไม่พร้อม
  • ผสาน Compliance เข้าไปในกระบวนการตรวจจับ ป้องกัน และตอบสนอง

ผลลัพธ์ที่ได้ คือ องค์กรยังไม่ถูก Ransomware โจมตี แต่ต่อให้ถูกโจมตี Reactive Incident Response ก็มีทั้ง People, Process และ Technology ที่พร้อมรับมืออย่างทันท่วงที อย่างไรก็ตาม การทำ Proactive Incident Response จำเป็นต้องอาศัยองค์ความรู้และความร่วมมือจากหลากหลายภาคส่วน รวมไปถึงเครื่องมือและบุคลากรที่มีทักษะเฉพาะด้านเพื่อให้การทำ Proactive Incident Response ประสบความสำเร็จ

E-Cop จึงได้ยกระดับตัวเองจาก Managed Security Service Provider ไปสู่ผู้ให้บริการ Cyber Resiliency as a Service เพื่อสนับสนุนการทำ Proactive Incident Response ให้แก่ลูกค้า ซึ่งจะเป็นรากฐานของการทำ Cyber Resilience ที่ทนทานต่อการถูกโจมตีและพร้อมรับมือกับทุกเหตุผิดปกติที่เกิดขึ้นโดยไม่ส่งผลต่อการดำเนินธุรกิจ

เกี่ยวกับ Bay Computing

Bay Computing เป็นหนึ่งในบริษัทชั้นนำที่มีความเชี่ยวชาญทางด้านการรักษาความมั่นคงปลอดภัยบนระบบเทคโนโลยีสารสนเทศ และให้บริการโซลูชันแบบครบวงจร (End-to-End Turnkey Solutions) ได้แก่ Cyber Security Operation Solution, Endpoint Security and Management, Network & Network Security Solutions, Data Security Solution, Infrastructure Solution and Advisory Service ตลอดจนการพัฒนาโซลูชัน Cybersecurity ที่ครอบคลุมทั้งการผสมผสานเทคโนโลยีต่างๆ รวมถึงกระบวนการนำไปใช้ และทักษะของบุคลากรในการให้คำปรึกษา ติดตั้ง บำรุงรักษา ปฏิบัติการ ตลอดจนการบริหารโครงการให้ประสบความสำเร็จสูงสุด

ในสภาวะที่มีการแข่งขันสูงเช่นในปัจจุบัน Bay Computing มีผลิตภัณฑ์ที่รองรับความต้องการเพื่อให้เป้าหมายทางธุรกิจ บรรลุผลขององค์กรทุกระดับ ด้วยทีมงานมืออาชีพมากกว่า 100 คนที่มีความพร้อมและเป็นผู้เชี่ยวชาญจากหลากหลายเทคโนโลยีและมีความชำนาญมากกว่า 25 ปี จึงได้รับความไว้วางใจจากองค์กรชั้นนำมากมาย อาทิ ผู้ให้บริการระบบสื่อสารและโทรคมนาคม, สถาบันการเงิน, บริษัทเงินทุนและหลักทรัพย์, หน่วยงานราชการ, หน่วยงานความมั่นคง, รัฐวิสาหกิจ และสถาบันการศึกษาชั้นนำ  ในการส่งมอบโซลูชั่นที่มีประสิทธิภาพ เหมาะสมสำหรับแต่ละองค์กรและธุรกิจของคุณ

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เอชพี เปิดตัวพอร์ตโฟลิโอที่หลากหลายที่สุดในกลุ่มผลิตภัณฑ์ AI PCs [PR]

เอชพี เปิดตัวพอร์ตโฟลิโอที่หลากหลายที่สุดในกลุ่มผลิตภัณฑ์ AI PCs ขับเคลื่อน ด้วยขุมพลัง AI ยกระดับประสิทธิภาพการทำงาน การสร้างสรรค์ และประสบการณ์ของผู้ใช้ในสภาพแวดล้อม การทำงานแบบไฮบริด

Microsoft ยกเลิกการใช้ 1024-bit RSA Key บน Windows แล้ว

Microsoft ประกาศยกเลิกการใช้กุญแจเข้ารหัส 1024-bit RSA Key บน Windows แล้ว เปลี่ยนไปใช้กุญแจเข้ารหัสความยาว 2048-bit เป็นอย่างน้อย